Galaxy S5′in parmak izi kilidi
tutkaldan yapılmış sahte parmak izi ile aşılabiliyor.
Araştırmacılar Samsung Galaxy S5
akıllı telefonunun parmak izi okuyucusunda kullanıcıların telefonlarını ve
PayPal uygulamasını hackerların saldırısına açık hale getiren bir açık
bulduklarını duyurdu. YouTube üzerinden yayınlanan videoda Galaxy S5′in parmak
izi kilidi tutkaldan yapılmış sahte parmak izi ile aşılabiliyor.
PayPal'ın ekosistem güvenliği başkanı Brett McDowell, The
Wall Street Journal gazetesine verdiği röportajda gösterilen hack işleminin
gerçek olduğunu ve bilindiğini ancak bu durumun kullanıcıları alarma
geçirmemesi gerektiğini söyledi.
McDowell, "Ortaya konan kanıtın gerçekliğini
sorgulamamız için bir neden yok. Bu, parmak izi algılama teknolojisinin bilinen
bir zorluluğu. Bunlar dünyanın en önde gelen araştırmacılarından bazıları.
Ancak bu büyütülebilecek bir açık değil. İnsanların çoğunun endişe duyacağı bir
şey değil." dedi.
Almanya'nın başkenti Berlin merkezli Security Research
Labs (SRLabs) tarafından yayınlanan videoda kalıbı çıkartılmış bir parmak izi
ile Galaxy S5′in parmak izi sensörü oyuna getirilerek telefonun kilidi
açılıyor. SRLabs video içerisinde yaptığı açıklamada sahte parmak izinin
telefonun ekranı üzerinde kalan parmak izinin başka bir telefonun kamerası
aracılığı ile çekilmiş fotoğraftan elde edildiğini belirtiyor. Video ilk olarak
Ars Technica tarafından duyuruldu.
Videoda konuşan kişi, "[Bu yöntem ile] telefon
kapatıldıktan sonra dahi yalnızca parmak izi doğrulaması aşılmakla kalmıyor
şifre gerektirmeden sınırsız doğrulama girişimine de imkan veriyor gibi
görünüyor." diyor.
PayPal şifre yerine Samsung'un parmak izi sensörünü
kullanmaya imkan veren uygulamalardan birisi. Videoda araştırmacı parmak izi
hilesi ile PayPal'a giriş yapıp hesaptaki parayı bir başka hesaba aktarıyor.
McDowell, PayPal'ın parmak izi kullanımının getirdiği
güvenliğin ve kolaylığın bir hackerın kişiye ait telefonu ve parmak izini elde
edip kullanma ihtimalinden daha fazla ağır bastığına inandığını da söyledi.
McDowell ayrıca hackerların parmak izinin kopyasını yapmak için gerekli olan
zaman ve kaynakları buluncaya kadar kullanıcının PayPal müşteri hizmetlerini
arayarak hesabının kayıp ya da çalıntı telefon ile bağlantısını kesebileceğini
de sözlerine ekledi.
McDowell, "Bu çok sayıda telefonda yapabileceğiniz
bir şey değil. Bu milyonlarca şifreyi hızla elde edebileceğiniz devasa kimlik
avı sahtekarlığı da değil. Bu yalnızca aynı anda tek bir cihaz ve tek bir
kurban ile sınırlı." dedi.
Apple'ın iPhone 5S'te kullandığı parmak izi okuyucusu da
daha önce bir kişi tarafından benzer bir yöntem ile aşılmış ancak bu yöntem
üçüncü parti finansal işlemlerin doğrulanmasında kullanılamamıştı. Yalnızca
Apple'ın kendi iTunes mağazasında açık kullanılabilmişti.
Kaynak | Gerçek Gündem
0 yorum:
Yorum Gönder